Phishing tombak adalah jenis serangan phishing yang menargetkan individu atau kelompok individu tertentu dalam suatu organisasi, dan mencoba mengelabui mereka agar membocorkan informasi sensitif, mengunduh malware, atau tanpa disadari mengirimkan pembayaran otorisasi kami kepada penyerang.
Seperti semua penipuan phishing, phishing tombak dapat dilakukan melalui email, pesan teks, atau panggilan telepon. Perbedaannya adalah bahwa alih-alih menargetkan ribuan atau jutaan calon korban dengan taktik 'phishing massal', pelaku phishing tombak menargetkan individu atau kelompok individu tertentu, misalnya, direktur penjualan regional perusahaan, dengan penipuan yang dipersonalisasi berdasarkan penelitian ekstensif.
Menurut laporan Biaya Pelanggaran Data 2023 dari IBM, phishing adalah penyebab paling umum kedua dari pelanggaran data pada tahun 2022. McKinsey mencatat bahwa jumlah serangan phishing tombak meningkat hampir tujuh kali lipat setelah dimulainya pandemi. Penjahat siber memanfaatkan peningkatan jumlah pekerja jarak jauh, yang mungkin lebih rentan terhadap penipuan phishing karena kebersihan keamanan yang lemah dan kebiasaan berkolaborasi dengan kolega dan atasan terutama melalui email dan aplikasi obrolan.
Laporan IBM juga menemukan bahwa meskipun serangan phishing memiliki biaya rata-rata tertinggi per pelanggaran yaitu USD 4,91 juta, biaya serangan phishing tombak dapat secara signifikan melebihi jumlah tersebut. Misalnya, dalam satu serangan profil tinggi, phishing tombak mencuri lebih dari USD 100 juta dari Facebook dan Google dengan menyamar sebagai vendor yang sah dan menipu karyawan untuk membayar faktur palsu.
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Daftar untuk mendapatkan X-Force Threat Intelligence Index
Dalam serangan phishing massal klasik, para peretas membuat pesan-pesan palsu yang tampaknya berasal dari bisnis, organisasi, atau bahkan selebritas terkenal. Kemudian mereka 'menyemprot dan berdoa', mengirimkan pesan phishing ini tanpa pandang bulu ke sebanyak mungkin orang dan berharap setidaknya segelintir orang akan tertipu dan menyerahkan informasi berharga seperti nomor jaminan sosial, nomor kartu kredit, atau kata sandi akun.
Di sisi lain, serangan spear phishing adalah serangan yang ditargetkan untuk individu tertentu yang memiliki akses ke aset tertentu.
Menetapkan tujuan
Sebagian besar serangan phishing tombak bertujuan untuk mencuri uang dalam jumlah besar dari organisasi dengan mengelabui seseorang untuk melakukan pembayaran atau transfer ke vendor atau rekening bank palsu, atau dengan mengelabui mereka untuk membocorkan nomor kartu kredit, nomor rekening bank, atau data rahasia atau data sensitif lainnya.
Tetapi kampanye spear phishing dapat memiliki tujuan merusak lainnya:
Menyebarkan ransomware atau malware lainnya, misalnya, pelaku ancaman dapat mengirimkan lampiran email berbahaya, seperti file Microsoft Excel, yang menginstal malware ketika dibuka.
Mencuri kredensial, seperti nama pengguna dan kata sandi, yang dapat digunakan peretas untuk melakukan serangan yang lebih besar. Misalnya, peretas mungkin mengirim tautan berbahaya kepada target ke laman web 'perbarui kata sandi Anda' yang curang.
Mencuri data pribadi atau informasi sensitif, seperti data pribadi pelanggan atau karyawan, keuangan perusahaan, atau rahasia dagang.
Memilih satu atau lebih target
Selanjutnya, pelaku phishing tombak mengidentifikasi target yang cocok. Seseorang atau sekelompok orang yang memiliki akses langsung ke sumber daya yang diinginkan peretas, atau yang dapat menyediakan akses tersebut secara tidak langsung dengan mengunduh malware.
Sering kali upaya phishing tombak menargetkan karyawan tingkat menengah, tingkat rendah, atau karyawan baru dengan hak akses jaringan atau sistem yang lebih tinggi, yang mungkin kurang ketat dalam mengikuti kebijakan dan prosedur perusahaan. Korban umumnya adalah manajer keuangan yang berwenang untuk melakukan pembayaran, administrator TI dengan akses tingkat administrator ke jaringan, dan manajer SDM yang memiliki akses ke data pribadi karyawan. (Jenis serangan phishing tombak lainnya menargetkan karyawan tingkat eksekutif secara eksklusif; lihat 'Phishing tombak, whaling, dan BEC,' di bawah ini).
Meneliti target
Penyerang meneliti target untuk mendapatkan informasi yang dapat mereka gunakan untuk menyamar sebagai seseorang yang dekat dengan target, yang merupakan orang atau organisasi yang dipercaya oleh target, atau seseorang yang bertanggung jawab kepada target.
Berkat banyaknya informasi yang dibagikan orang secara bebas di media sosial dan di tempat lain secara online, penjahat siber dapat menemukan informasi ini tanpa perlu banyak menggali. Menurut laporan dari Omdia, peretas dapat membuat email phishing tombak yang meyakinkan setelah sekitar 100 menit melakukan pencarian di Google secara umum. Beberapa peretas mungkin membobol akun email perusahaan atau aplikasi perpesanan dan menghabiskan lebih banyak waktu mengamati percakapan untuk mengumpulkan informasi yang lebih terperinci.
Membuat dan mengirim pesan
Dengan menggunakan penelitian ini, spear phisher dapat membuat pesan phishing yang ditargetkan dan terlihat kredibel, dari sumber atau orang yang dipercaya.
Misalnya, bayangkan 'Jack' adalah manajer utang usaha di ABC Industries. Hanya dengan melihat profil LinkedIn publik Jack, penyerang dapat menemukan jabatan, tanggung jawab, alamat email perusahaan, nama departemen, nama dan jabatan atasan, serta nama dan jabatan mitra bisnis Jack. Mereka kemudian menggunakan detail ini untuk mengiriminya email yang dapat dipercaya dari bos atau kepala departemennya:
Hai Jack,
Saya tahu Anda memproses faktur dari Sistem XYZ. Mereka hanya memberi tahu saya bahwa mereka sedang memperbarui proses pembayaran mereka dan membutuhkan semua pembayaran di masa mendatang untuk masuk ke rekening bank baru. Berikut faktur terbaru mereka dengan detail akun baru. Bisakah Anda mengirim pembayaran hari ini?
Email tersebut biasanya menyertakan petunjuk visual yang sekilas memperkuat identitas pengirim yang ditiru, seperti alamat email yang dipalsukan (misalnya, menampilkan nama tampilan pengirim yang ditiru tetapi menyembunyikan alamat email palsu), Cc ke email rekan kerja yang juga dipalsukan, atau tanda tangan email yang menampilkan logo perusahaan ABC Industries. Beberapa penipu dapat meretas akun email pengirim yang ditiru dan mengirimkan pesan dari sana, untuk keaslian yang sesungguhnya.
Taktik lain adalah menggabungkan email dengan phishing pesan teks, yang disebut phising SMS atau smishing, atau phishing suara, yang disebut vishing. Misalnya, alih-alih melampirkan faktur, email mungkin menginstruksikan Jack untuk menghubungi departemen utang dagang XYZ Systems, di nomor telepon yang dikelola oleh penipu.
Serangan phishing tombak banyak menggunakan teknik rekayasa sosial. Ada taktik yang menggunakan tekanan psikologis atau motivasi untuk mengelabui atau memanipulasi orang agar mengambil tindakan yang tidak seharusnya dan biasanya tidak akan dilakukan.
Menyamar sebagai pejabat tinggi perusahaan, seperti pada email spear phishing di atas, adalah salah satu contohnya. Karyawan dikondisikan untuk menghormati otoritas dan secara tidak sadar takut untuk tidak mengikuti perintah eksekutif, bahkan jika perintah tersebut di luar kebiasaan. Serangan spear phishing bergantung pada teknik rekayasa sosial lainnya termasuk:
Pretexting: Mengarang cerita atau situasi realistis yang dikenali dan dapat dikaitkan dengan target, misalnya, 'kata sandi Anda akan kedaluwarsa...'
Menciptakan rasa urgensi: Misalnya, menyamar sebagai vendor, dan mengklaim pembayaran untuk layanan penting terlambat.
Memancing emosi atau motivator bawah sadar: Mencoba memicu rasa takut, rasa bersalah atau keserakahan pada target, merujuk pada penyebab atau peristiwa yang menjadi perhatian target, atau bahkan sekadar membantu. Misalnya, 'ini tautan ke situs web yang menjual suku cadang komputer yang Anda cari.'
Sebagian besar kasus phishing tombak menggabungkan beberapa taktik rekayasa sosial. Misalnya, catatan dari manajer langsung target yang berbunyi, 'Saya akan naik pesawat dan baterai saya hampir habis, tolong bantu saya dan segerakan transfer ke XYZ Corp. agar kami tidak perlu membayar biaya keterlambatan.'
Meskipun setiap serangan phishing yang menargetkan individu atau kelompok tertentu adalah phishing tombak, ada beberapa subtipe yang penting.
Whaling (kadang-kadang disebut whale phishing) adalah phishing tombak yang menargetkan korban dengan profil dan nilai tertinggi. Mereka biasanya adalah anggota dewan atau manajemen tingkat C, tetapi juga target non-korporasi, seperti selebriti dan politisi. Para pelaku whaling mengincar hasil buruan yang hanya bisa disediakan oleh target-target ini, yaitu uang tunai dalam jumlah besar, atau akses ke informasi yang sangat berharga atau sangat rahasia. Tidak mengherankan, serangan whaling biasanya membutuhkan penelitian yang lebih terperinci daripada serangan phishing tombak lainnya.
Kompromi email bisnis (BEC) adalah spear phishing yang ditujukan secara khusus untuk merampok organisasi. Dua bentuk umum dari BEC meliputi:
Penipuan CEO: Penipu menyamar sebagai akun email eksekutif tingkat C, atau meretasnya secara langsung, dan mengirimkan pesan ke satu atau lebih karyawan tingkat rendah yang memerintahkan mereka untuk mentransfer dana ke akun palsu atau melakukan pembelian dari vendor penipu.
Kompromi akun email (EAC): Penipu mendapatkan akses ke akun email karyawan tingkat bawah. Misalnya, seorang manajer di bidang keuangan, penjualan, atau penelitian dan pengembangan dan menggunakannya untuk mengirimkan faktur palsu ke vendor, menginstruksikan karyawan lain untuk melakukan pembayaran atau penyetoran palsu, atau meminta akses ke data rahasia.
Serangan BEC yang berhasil merupakan salah satu kejahatan siber yang paling mahal. Dalam salah satu contoh BEC yang paling terkenal, peretas yang menyamar sebagai CEO meyakinkan departemen keuangan perusahaannya untuk mentransfer EUR 42 juta ke rekening bank palsu.
Serangan phishing merupakan salah satu serangan siber yang paling sulit untuk diperangi, karena mereka tidak selalu dapat diidentifikasi oleh alat keamanan siber tradisional (berbasis tanda tangan); dalam banyak kasus, penyerang hanya perlu melewati pertahanan keamanan 'manusia'.
Serangan phishing tombak sangat menantang karena sifatnya yang ditargetkan dan konten yang dipersonalisasi membuat mereka lebih meyakinkan bagi kebanyakan orang. Namun, ada beberapa langkah yang bisa diambil organisasi untuk membantu mengurangi dampak phishing tombak, atau bahkan mencegah serangan phishing tombak sepenuhnya:
Pelatihan kesadaran keamanan. Karena phishing tombak mengambil keuntungan dari sifat manusia, pelatihan karyawan merupakan garis pertahanan yang penting untuk melawan serangan ini. Pelatihan kesadaran keamanan dapat meliputi:
Mengajarkan teknik kepada karyawan untuk mengenali email yang mencurigakan. Misalnya, memeriksa nama pengirim email untuk mencari nama domain palsu.
Kiat tentang cara menghindari 'berbagi berlebihan' di situs jejaring sosial.
Kebiasaan kerja yang baik. Misalnya, tidak pernah membuka lampiran yang tidak diminta, mengonfirmasi permintaan pembayaran yang tidak biasa melalui saluran kedua, menelepon vendor untuk mengonfirmasi faktur, menavigasi langsung ke situs web alih-alih mengklik tautan di dalam email.
Simulasi spear phishing di mana karyawan dapat menerapkan apa yang mereka pelajari.
Autentikasi multifaktor dan adaptif. Menerapkan autentikasi multifaktor (membutuhkan satu atau lebih kredensial selain nama pengguna dan kata sandi) dan/atau autentikasi adaptif (membutuhkan kredensial tambahan saat pengguna masuk dari perangkat atau lokasi yang berbeda) dapat mencegah peretas untuk mendapatkan akses ke akun email pengguna, bahkan jika mereka dapat mencuri kata sandi email pengguna.
Perangkat lunak keamanan. Tidak ada satu pun perangkat keamanan yang dapat mencegah spear phishing secara keseluruhan, tetapi beberapa perangkat dapat berperan dalam mencegah serangan spear phishing atau meminimalkan kerusakan yang ditimbulkannya:
Beberapa alat keamanan email, seperti penyaring spam dan gateway email yang aman, dapat membantu mendeteksi dan mengalihkan email spear phishing.
Perangkat lunak antivirus dapat membantu menetralisir infeksi malware atau ransomware yang dikenal sebagai hasil dari spear phishing.
- Gateway web yang aman dan alat pemfilteran web lainnya dapat memblokir situs web berbahaya yang ditautkan ke email spear phishing.
- Patch sistem dan perangkat lunak dapat menutup kerentanan teknis yang biasa digunakan oleh pelaku phishing tombak.
Solusi keamanan perusahaan dapat membantu tim keamanan dan pusat operasi keamanan (SOC) mendeteksi dan mencegat lalu lintas berbahaya dan aktivitas jaringan yang terkait dengan serangan phishing. Solusi ini mencakup (namun tidak terbatas pada) orkestrasi keamanan, otomatisasi dan respons (SOAR), manajemen insiden dan peristiwa keamanan (SIEM), deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan deteksi dan respons yang diperluas (XDR).
Tangkap ancaman tingkat lanjut yang terlewatkan oleh orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intelijen ancaman, anomali jaringan dan perilaku pengguna, serta memprioritaskan mana yang memerlukan perhatian dan remediasi segera.
IBM Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.
Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi secara hampir real-time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan ini.
Ikuti perkembangan berita, tren, dan teknik pencegahan phishing di Security Intelligence, blog kepemimpinan yang diselenggarakan oleh IBM Security.
Ransomware adalah malware yang menyandera perangkat dan data korban, sampai tebusan dibayarkan.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.